Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenVPN < 2.4.2 Betroffene Plattformen: Canonical Ubuntu Linux 17.04 GNU/Linux Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in OpenVPN vor Version 2.4.2 ermöglichen einem entfernten, nicht und einfach authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe gegen den OpenVPN-Server. In beiden Fällen wird ein Ausnahmefehler ausgelöst, in dessen Folge die Prozessausführung beendet wird. Der Hersteller veröffentlicht OpenVPN 2.4.2 zur Behebung dieser Schwachstellen und weiterer, im Rahmen eines Audits gefundener Probleme in der Software. Verschiedene Möglichkeiten zur Dereferenzierung von NULL-Zeigern (mögliche Denial-of-Service-Angriffe) werden noch untersucht und sind nicht Teil dieser Veröffentlichung. Die Schwachstelle CVE-2017-7479 wird zusätzlich in Version 2.3.15 und Folgenden behoben. Für Fedora 25 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf OpenVPN 2.4.2 im Status 'pending' bereit. Canonical stellt ein Backport-Sicherheitsupdate für Ubuntu Linux 17.04 bereit, um die beiden Schwachstellen zu beheben. Patch: Fedora Security Update FEDORA-2017-0d0f18140a (Fedora 25, openvpn-2.4.2-1.fc25) https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d0f18140a

Patch:

Fedora Security Update FEDORA-EPEL-2017-6ee18d1c7b (Fedora EPEL 6,
openvpn-2.4.2-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6ee18d1c7b

Patch:

Fedora Security Update FEDORA-EPEL-2017-c9f915d837 (Fedora EPEL 7,
openvpn-2.4.2-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c9f915d837

Patch:

OpenVPN Download

https://openvpn.net/index.php/open-source/downloads.html

Patch:

Ubuntu Security Notice USN-3284-1

https://www.ubuntu.com/usn/usn-3284-1/

CVE-2017-7479: Schwachstelle in OpenVPN ermöglicht Denial-of-Service-Angriff

Im OpenVPN-Server kann der Zähler für die Paket-ID (packet-ID) zum
Überlaufen gebracht werden, wodurch ein Ausnahmefehler ausgelöst wird. Ein
entfernter, einfach authentisierter Angreifer kann einen Denial-of-Service
(DoS)-Angriff auf den Server ausführen, indem er diesen dazu bringt, 2^32
Pakete (ungefähr 196 GB) an den verbundenen Client zu senden.

CVE-2017-7478: Schwachstelle in OpenVPN ermöglicht Denial-of-Service-Angriff

Über einen Drei-Wege-Handshake (P_HARD_RESET, P_HARD_RESET, P_CONTROL) kann
ein entfernter, nicht authentisierter Angreifer eine Payload in das
‘P_CONTROL’-Paket einfügen. Falls diese Payload zu groß ist, wird im
OpenVPN-Server ein Ausnahmefehler ausgelöst, der in einen Denial-of-Service
(DoS)-Zustand mündet. Ein entfernter, nicht authentisierter Angreifer kann
so einen Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0836/

Fedora Security Update FEDORA-2017-0d0f18140a (Fedora 25,
openvpn-2.4.2-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d0f18140a

Fedora Security Update FEDORA-EPEL-2017-6ee18d1c7b (Fedora EPEL 6,
openvpn-2.4.2-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-6ee18d1c7b

Fedora Security Update FEDORA-EPEL-2017-c9f915d837 (Fedora EPEL 7,
openvpn-2.4.2-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-c9f915d837

OpenVPN Download:
https://openvpn.net/index.php/open-source/downloads.html

Ubuntu Security Notice USN-3284-1:
https://www.ubuntu.com/usn/usn-3284-1/

OpenVPN 2.4.2 Changelog:
https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn24

Schwachstelle CVE-2017-7478 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7478

Schwachstelle CVE-2017-7479 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7479

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.